CTT Report Hub
#ParsedReport #CompletenessHigh 21-04-2024 ScrubCrypt VenomRAT RemcosRAT. Too long to watch https://mp.weixin.qq.com/s/xAwoxhgEXV_HwDztISGK0A Report completeness: High Actors/Campaigns: 8220_gang Threats: Scrubcrypt Venomrat Remcos_rat Batcloak_tool Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----
Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.
VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.
В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.
NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.
Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном анализе сложной кибератаки, связанной с распространением и выполнением VenomRAT, троянской программы удаленного доступа, с использованием передовых методов обфускации. Цепочка атак включает фишинговые электронные письма, запутанные пакетные файлы и плагины, поставляемые через сервер управления, демонстрируя возможности, которые злоумышленники используют для компрометации систем и кражи конфиденциальных данных.
-----
Распространение атаки VenomRAT включает в себя фишинговые электронные письма с вредоносными SVG-файлами, которые приводят к загрузке зашифрованных ZIP-файлов, содержащих VenomRAT, с помощью ScrubCrypt.
VenomRAT устанавливает соединение с сервером C2, устанавливает плагины, такие как Remcos, XWorm, NanoCore и стелс-программы для крипто-кошельков, и собирает данные о жертвах различных вредоносных действий.
В ходе атаки используются запутанные скрипты, технологии PowerShell и сложные плагины для кражи данных, контроля системы и уклонения от обнаружения.
NanoCore изменяет ключи реестра и загружает закодированные данные, XWorm распространяется через съемные диски, а Remcos обеспечивает полный контроль над зараженными системами с помощью кейлоггинга и скриншотов.
Плагины с сервера VenomRAT C2 нацелены на конкретные данные, такие как крипто-кошельки, имена пользователей и данные о ПК, постоянно отправляя собранные данные в вредоносных целях.
#ParsedReport #CompletenessMedium
22-04-2024
TargetCompany MS-SQL (Mallox, BlueSky )
https://asec.ahnlab.com/ko/64345
Report completeness: Medium
Actors/Campaigns:
Tor2mine
Threats:
Targetcompany
Bluesky_ransomware
Remcos_rat
Cobalt_strike
Anydesk_tool
Trigona
Shadow_copies_delete_technique
Trojan/win.generic.c5352187
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m1751
Ransom/mdp.event.m1946
Teamviewer_tool
ChatGPT TTPs:
T1110, T1133, T1021, T1565, T1071, T1105, T1486, T1070, T1059
IOCs:
File: 34
Url: 4
Command: 2
Registry: 5
Hash: 5
IP: 1
Soft:
MS-SQL, Internet Explorer, Windows Defender, ASP.NET, mysql, SQL Server Reporting Services, SQLBrowser, MSSQL, SQLAgent, RabbitMQ, have more...
Algorithms:
aes-128-ctr, sha256, md5, aes-256
Win Services:
(MSSQLSERVER)
Languages:
powershell
Platforms:
intel
Links:
22-04-2024
TargetCompany MS-SQL (Mallox, BlueSky )
https://asec.ahnlab.com/ko/64345
Report completeness: Medium
Actors/Campaigns:
Tor2mine
Threats:
Targetcompany
Bluesky_ransomware
Remcos_rat
Cobalt_strike
Anydesk_tool
Trigona
Shadow_copies_delete_technique
Trojan/win.generic.c5352187
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m1751
Ransom/mdp.event.m1946
Teamviewer_tool
ChatGPT TTPs:
do not use without manual checkT1110, T1133, T1021, T1565, T1071, T1105, T1486, T1070, T1059
IOCs:
File: 34
Url: 4
Command: 2
Registry: 5
Hash: 5
IP: 1
Soft:
MS-SQL, Internet Explorer, Windows Defender, ASP.NET, mysql, SQL Server Reporting Services, SQLBrowser, MSSQL, SQLAgent, RabbitMQ, have more...
Algorithms:
aes-128-ctr, sha256, md5, aes-256
Win Services:
(MSSQLSERVER)
Languages:
powershell
Platforms:
intel
Links:
https://github.com/kevoreilly/CAPEv2ASEC BLOG
TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어) - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 최근 MS-SQL 서버를 대상으로 한 공격들을 모니터링하던 중 TargetComapny 랜섬웨어 그룹이 Mallox 랜섬웨어를 설치하고 있는 사례를 확인하였다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있다. 이러한 공격은 수 년째 지속되고 있지만 여기에서는 새롭게 확인된 악성코드를 통해 과거…
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2024 TargetCompany MS-SQL (Mallox, BlueSky ) https://asec.ahnlab.com/ko/64345 Report completeness: Medium Actors/Campaigns: Tor2mine Threats: Targetcompany Bluesky_ransomware Remcos_rat Cobalt_strike Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Группа компаний-вымогателей TargetCompany использует недостаточно защищенные серверы MS-SQL для развертывания программ-вымогателей Mallox и других вредоносных программ, таких как Remcos RAT и Cobalt Strike, с целью компрометации систем, утечки данных и проведения атак с целью получения финансовой выгоды. Они используют уязвимости с помощью грубой силы и атак по словарю, при этом на протяжении нескольких лет они постоянно используют уязвимости MS-SQL server. Администраторам баз данных рекомендуется усилить меры безопасности, регулярно обновлять пароли и улучшать программное обеспечение для защиты от кибератак.
-----
Группа вымогателей TargetCompany нацелилась на недостаточно защищенные серверы MS-SQL для развертывания программы-вымогателя Mallox.
Злоумышленники используют уязвимости в плохо управляемых серверах MS-SQL, используя грубую силу и словарные атаки для получения доступа.
Remcos RAT используется для удаленного управления, позволяя злоумышленникам собирать конфиденциальную информацию.
Установка программы-вымогателя Mallox выполняется в последовательности, включающей установку вредоносного ПО для удаленного доступа, вредоносного ПО для управления экраном и шифрование системы.
Злоумышленники также используют Cobalt Strike для расширенного контроля и внедряют майнеры монет Tor2Mine и программу-вымогателя BlueSky.
Группа вымогателей TargetCompany использует уязвимости MS-SQL server для постоянных атак с использованием нескольких вариантов вредоносного ПО.
Рекомендуемые меры для администраторов включают надежные пароли, обновления программного обеспечения безопасности и контроль внешнего доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
Группа компаний-вымогателей TargetCompany использует недостаточно защищенные серверы MS-SQL для развертывания программ-вымогателей Mallox и других вредоносных программ, таких как Remcos RAT и Cobalt Strike, с целью компрометации систем, утечки данных и проведения атак с целью получения финансовой выгоды. Они используют уязвимости с помощью грубой силы и атак по словарю, при этом на протяжении нескольких лет они постоянно используют уязвимости MS-SQL server. Администраторам баз данных рекомендуется усилить меры безопасности, регулярно обновлять пароли и улучшать программное обеспечение для защиты от кибератак.
-----
Группа вымогателей TargetCompany нацелилась на недостаточно защищенные серверы MS-SQL для развертывания программы-вымогателя Mallox.
Злоумышленники используют уязвимости в плохо управляемых серверах MS-SQL, используя грубую силу и словарные атаки для получения доступа.
Remcos RAT используется для удаленного управления, позволяя злоумышленникам собирать конфиденциальную информацию.
Установка программы-вымогателя Mallox выполняется в последовательности, включающей установку вредоносного ПО для удаленного доступа, вредоносного ПО для управления экраном и шифрование системы.
Злоумышленники также используют Cobalt Strike для расширенного контроля и внедряют майнеры монет Tor2Mine и программу-вымогателя BlueSky.
Группа вымогателей TargetCompany использует уязвимости MS-SQL server для постоянных атак с использованием нескольких вариантов вредоносного ПО.
Рекомендуемые меры для администраторов включают надежные пароли, обновления программного обеспечения безопасности и контроль внешнего доступа.
#ParsedReport #CompletenessLow
22-04-2024
Sharp-Project: New Stealer Family on the Market
https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer
Report completeness: Low
Threats:
Sharp_stealer
Sharpil
Umbral
Echelon_stealer
Victims:
Gamers, Vime world minecraft server
Industry:
Financial, Entertainment
Geo:
Russian
ChatGPT TTPs:
T1595, T1552, T1547, T1071, T1041
IOCs:
File: 2
Hash: 4
Soft:
Telegram, Google Chrome, Slimjet, Chrome, Opera, Outlook, Discord, Roblox, Viber, Jabber, have more...
Algorithms:
bcrypt, zip
22-04-2024
Sharp-Project: New Stealer Family on the Market
https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer
Report completeness: Low
Threats:
Sharp_stealer
Sharpil
Umbral
Echelon_stealer
Victims:
Gamers, Vime world minecraft server
Industry:
Financial, Entertainment
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1595, T1552, T1547, T1071, T1041
IOCs:
File: 2
Hash: 4
Soft:
Telegram, Google Chrome, Slimjet, Chrome, Opera, Outlook, Discord, Roblox, Viber, Jabber, have more...
Algorithms:
bcrypt, zip
Gdatasoftware
Sharp-Project: New Stealer Family on the Market
Infostealers are one of the most lucrative types of malware employed by criminals. And because this is a tried and tested approach, there are still new players entering this illegal game. The new kid on the block is called "Sharp Stealer", and one of its…
CTT Report Hub
#ParsedReport #CompletenessLow 22-04-2024 Sharp-Project: New Stealer Family on the Market https://www.gdatasoftware.com/blog/2024/04/37894-sharp-info-stealer Report completeness: Low Threats: Sharp_stealer Sharpil Umbral Echelon_stealer Victims: Gamers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----
Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.
Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.
Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.
Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что инфокрады Sharpil RAT, в частности вредоносная программа, известная как "Sharp Stealer", нацелена на геймеров с целью кражи конфиденциальной информации, действуя через Telegram-бота, несмотря на то, что она классифицируется как троян удаленного доступа. Вредоносная программа фокусируется на краже данных, а не на контроле системы, использует методы обфускации и нацелена на широкий спектр приложений, которые обычно используются игроками для получения финансовой выгоды на подпольных рынках. Однако он не приобрел значительной популярности в киберпреступном сообществе, и ему не хватает продвинутых методов уклонения, что указывает на то, что он, возможно, все еще находится на ранней стадии разработки.
-----
Инфокрады Sharpil RAT представляют собой нового игрока на рынке киберпреступлений, который нацелен на игроков с целью кражи конфиденциальной информации. Вредоносная программа, известная как "Sharp Stealer", написана на C# и работает путем установления соединения с ботом Telegram для получения команд от участников угрозы. Она может собирать системную информацию, данные браузера, геолокацию и данные пользователя с игровых серверов, таких как Vime World. Несмотря на то, что он помечен как троян для удаленного доступа, его функциональные возможности больше соответствуют функциям похитителя данных, специально разработанного для кражи данных с дистанционным управлением, а не для управления системой.
Злоумышленник, стоящий за Sharp Stealer, работает через Telegram-канал под названием "SHARP PROJECT", предлагая вредоносное ПО в аренду за 10 долларов или для постоянной покупки за 30 долларов. Вредоносное ПО отправляет украденные данные непосредственно боту Telegram, минуя хостинг. Хотя изначально были сомнения в достоверности проекта, дальнейшее расследование подтвердило, что Sharpil RAT и Sharp Stealer используют схожие стили кодирования и нацелены на схожие наборы данных, используя Telegram-бота для сбора данных.
Вредоносная программа использует различные методы обфускации, включая использование Ionic Framework, криптографические функции с помощью библиотеки BCrypt и компоненты других вредоносных программ, таких как Umbral stealer и Echelon infostealer. Несмотря на попытки обфускации, аналитикам удалось расшифровать функциональные возможности вредоносного ПО и определить конкретные данные, на которые оно нацелено, включая широкий спектр приложений, обычно используемых геймерами.
Одним из примечательных аспектов Sharp Stealer является его ориентация на игровые платформы и мессенджеры, которые являются прибыльными источниками внутриигровых предметов, платежной информации и скомпрометированных аккаунтов на подпольных рынках. Однако вредоносная программа еще не приобрела значительной популярности в киберпреступном сообществе из-за ограниченного присутствия на форумах даркнета и небольшой базы подписчиков на соответствующий Telegram-канал. Кроме того, вредоносная программа лишена функций, обычно встречающихся у известных инфокрадов, таких как методы обхода антивирусного обнаружения и обнаружения в изолированной среде, что указывает на то, что она все еще может находиться на ранних стадиях разработки.
#ParsedReport #CompletenessLow
23-04-2024
APT-C-28 ScarCruft LNK RokRat.
https://www.ctfiot.com/175379.html
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Victims:
Companies in the energy sector
Industry:
Transport, Energy, Aerospace, Military, Healthcare
Geo:
Korea, Korean, Asia, Asian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.001, T1204.002, T1059.001, T1027, T1055, T1105
IOCs:
File: 3
Hash: 2
Algorithms:
zip, sha1, xor, md5, sha256
Languages:
powershell
23-04-2024
APT-C-28 ScarCruft LNK RokRat.
https://www.ctfiot.com/175379.html
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Victims:
Companies in the energy sector
Industry:
Transport, Energy, Aerospace, Military, Healthcare
Geo:
Korea, Korean, Asia, Asian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001, T1204.002, T1059.001, T1027, T1055, T1105
IOCs:
File: 3
Hash: 2
Algorithms:
zip, sha1, xor, md5, sha256
Languages:
powershell
CTF导航
APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析 | CTF导航
APT-C-28 ScarCruftAPT-C-28(ScarCruft)组织,也被称为APT37(Reaper)和Group123,是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年,并且一直保持到现在仍然十分活跃。APT-C-28...
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 APT-C-28 ScarCruft LNK RokRat. https://www.ctfiot.com/175379.html Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Victims: Companies in the energy sector Industry: Transport, Energy, Aerospace…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----
В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.
Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.
Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.
Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.
Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.
Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении киберугроз, связанных с организацией ScarCruft, с особым упором на распространение и функциональность вредоносного ПО RokRat. В тексте освещаются методы доставки RokRat, кампании по атакам, нацеленные на энергетическую отрасль, рекомендации по предотвращению и устранению неполадок, природа и происхождение APT-C-28 (ScarCruft), а также описание конкретной сетевой атаки, связанной с развертыванием вредоносного ПО RokRat с помощью обманчивых файлов LNK. Дальнейший анализ включает в себя подробную информацию о механизмах активации вредоносного ПО, эволюции методов атаки и стратегиях, используемых злоумышленниками.
-----
В тексте обсуждаются действия, связанные с киберугрозами, связанные с организацией ScarCruft, с особым упором на доставку и функциональность вредоносного ПО RokRat. В начале статьи упоминается о предыдущих статьях, в которых подробно описывается, как злоумышленники распространяют образцы вредоносного ПО RokRat с помощью вредоносных документов, и приводится анализ кампаний по атакам RokRat, нацеленных на энергетическую отрасль. Обсуждаются функции RokRat, подчеркивается их последовательность и принадлежность к организации ScarCruft на основе сходства в моделях атак.
Злоумышленники отправляют сжатые файлы по электронной почте, предлагая пользователям щелкнуть по вредоносным файлам LNK, чтобы опубликовать образцы RokRat. В тексте содержатся рекомендации по предотвращению и устранению неполадок, включая обучение сотрудников, ограничение выполнения файлов, использование антивирусного программного обеспечения, проведение проверок безопасности, применение исправлений безопасности и внедрение многофакторной аутентификации для усиления мер безопасности.
Организация APT-C-28 (ScarCruft), также известная как APT37 (Жнец) и Group123, идентифицируется как группа APT, происходящая из Северо-Восточной Азии. Известный своими кибератаками, направленными в первую очередь против Южной Кореи и других азиатских стран, APT-C-28 с 2012 года нацелен на такие отрасли, как химия, электроника, обрабатывающая промышленность, аэрокосмическая промышленность, автомобилестроение и здравоохранение, с целью кражи конфиденциальных данных, связанных с военными, политическими и экономическими вопросами. RokRat, облачный инструмент удаленного доступа, часто используется APT-C-28 в своей работе с 2016 года, помогая в краже разведывательных данных.
Описана конкретная сетевая атака APT-C-28, в ходе которой вредоносные файлы LNK, замаскированные под "Дебаты экспертов по правам человека в Северной Корее", использовались для доставки вредоносного ПО RokRat. В тексте объясняется процесс распространения вредоносного ПО путем оценки начальной вредоносной нагрузки, включая извлечение файла BAT и сценария PowerShell из файла LNK, загрузку зашифрованной полезной нагрузки из DropBox и расшифровку для получения вредоносного ПО RokRat. Выделяются сложные механизмы активации вредоносного ПО, демонстрирующие сложность атаки.
Злоумышленники использовали тактику приманки, маскируя содержимое файла LNK, относящееся к важной теме, чтобы обманом заставить пользователей выполнить его. Вредоносный код PowerShell, встроенный в файл LNK, скрытно выполняет различные потенциально вредоносные операции, включая изменение атрибутов защиты, расшифровку данных с помощью операции XOR, создание нового потока для выполнения и обработку исключений во время процесса.
Дальнейший анализ посвящен расшифровке PE-файла и выявлению троянца RokRat, созданного в 2023 году. В тексте это открытие сравнивается с предыдущими анализами версий RokRat, в которых основное внимание уделяется эволюции методов и стратегий атаки. Хотя в образце 2023 года сохранены основные функциональные возможности версии 2022 года, в нем представлены изменения в методах работы, такие как корректировка трассировок в реестре для повышения скрытности и эффективности при эффективном обходе мер безопасности.
#ParsedReport #CompletenessLow
23-04-2024
Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor
https://any.run/cybersecurity-blog/attackers-exploit-google-ads
Report completeness: Low
Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
ChatGPT TTPs:
T1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001
IOCs:
Domain: 1
File: 6
Algorithms:
zip
23-04-2024
Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor
https://any.run/cybersecurity-blog/attackers-exploit-google-ads
Report completeness: Low
Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Process_hollowing_technique
Dns_tunneling_technique
ChatGPT TTPs:
do not use without manual checkT1192, T1566.002, T1566.001, T1055.012, T1070.004, T1036.004, T1071.004, T1027, T1564.001
IOCs:
Domain: 1
File: 6
Algorithms:
zip
ANY.RUN's Cybersecurity Blog
Cybercriminals Exploit Google Ads to Spread a Backdoor
A new malicious campaign on Google Ads is exploiting domains that impersonate an IP scanner to distribute a new backdoor called MadMxShell.
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 Cybercriminals Exploit Google Ads to Spread IP Scanner with Concealed Backdoor https://any.run/cybersecurity-blog/attackers-exploit-google-ads Report completeness: Low Threats: Madmxshell Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----
Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.
Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.
Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.
MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.
Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Была выявлена сложная вредоносная кампания с использованием Google Ads, нацеленная на пользователей с помощью поддельных инструментов сканирования IP-адресов для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор взаимодействует с сервером управления с помощью запросов DNS MX и использует продвинутую тактику обхода, чтобы избежать обнаружения.
-----
Была выявлена новая вредоносная рекламная кампания, использующая Google Ads, нацеленная на пользователей с 45 доменами, которые выдают себя за сканер IP-адресов, для распространения недавно обнаруженного бэкдора Windows под названием MadMxShell. Этот бэкдор представляет собой сложную вредоносную программу, которая взаимодействует со своим сервером управления (C2) с помощью запросов DNS Mail Exchange (MX), причем сервер C2 находится по адресу litterbolo.com. Уникальной особенностью MadMxShell является его метод кодирования данных в пакетах запросов DNS MX для получения и выполнения команд, что привело к его названию - MadMxShell.
Эта кампания стала первым случаем использования вредоносной рекламы для распространения сложного бэкдора Windows. Вредоносная реклама предполагает использование рекламы Google для продвижения вредоносных доменов, выведения их на верхние строчки результатов поиска и заманивания жертв к ним. Процесс заражения обычно начинается, когда пользователь, который ищет популярные инструменты для сканирования IP-адресов, нажимает на вредоносную рекламу Google, перенаправляя их на один из доменов, зарегистрированных злоумышленниками. При нажатии кнопки загрузки на этих поддельных сайтах загружается вредоносный ZIP-архив с именем "Advanced-ip-scanner.zip". Этот архив содержит два файла: DLL-файл с именем IVIEWERS.dll и исполняемый файл с именем Advanced-ip-scanner.exe.
Когда пользователь выполняет Advanced-ip-scanner.exe, для загрузки IVIEWERS используется технология сторонней загрузки библиотеки DLL.dll-файл запускает цепочку заражения. Библиотека DLL внедряет встроенный шелл-код в процесс Advanced-ip-scanner.exe посредством "опустошения" процесса, заменяя оперативную память процесса вредоносным кодом, чтобы скрыть его действия. Вредоносная программа использует надежный двоичный файл OneDrive.exe для дополнительной загрузки вредоносного файла Secur32.dll для сохранения и выполняет скрытый шелл-код. Этот метод позволяет вредоносному ПО маскироваться под безобидный процесс, повышая его скрытность.
MadMxShell использует различные тактики уклонения, чтобы затруднить анализ, включая туннелирование DNS для связи со своим сервером C2, многоэтапную загрузку библиотеки DLL и выполнение команды ping с помощью процесса Cmd.exe для задержки моделирования анализа. Эти маневры направлены на то, чтобы избежать обнаружения с помощью автоматизированных изолированных систем с ограниченным временем для анализа образцов, демонстрируя сложную конструкцию вредоносного ПО и намерение злоумышленников обойти меры безопасности.
Анализ образцов вредоносных программ, таких как MadMxShell, можно упростить с помощью таких инструментов, как ANY.RUN, облачной интерактивной "песочницы", которая упрощает анализ вредоносных программ для специалистов по кибербезопасности. ANY.RUN предоставляет платформу для изучения угроз, нацеленных как на системы Windows, так и на Linux, предлагая расширенные возможности для углубленного анализа. Продукты ANY.RUN threat intelligence, Lookup и Feeds, предоставляют пользователям уточненные показатели компрометации и контекстную информацию для улучшения обнаружения угроз и реагирования на инциденты.
#ParsedReport #CompletenessHigh
23-04-2024
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining
Report completeness: High
Actors/Campaigns:
Kimsuky
Winnti
Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool
Victims:
Large corporate networks
Geo:
India, Germany, Korean, Indian
ChatGPT TTPs:
T1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...
IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1
Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals
Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1
Functions:
main
Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime
Languages:
powershell
Platforms:
x86, x64
Links:
23-04-2024
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining
Report completeness: High
Actors/Campaigns:
Kimsuky
Winnti
Threats:
Guptiminer
Gziploader
Puppeteer
Xmrig_miner
Putty_tool
Plink_tool
Mitm_technique
Heavens_gate_technique
Cylance
Windbg_tool
Ollydbg_tool
Teamviewer_tool
Victims:
Large corporate networks
Geo:
India, Germany, Korean, Indian
ChatGPT TTPs:
do not use without manual checkT1556, T1204, T1059, T1070, T1112, T1053, T1562, T1027, T1557, T1546, have more...
IOCs:
File: 33
Url: 5
Hash: 23
Path: 34
Domain: 55
Registry: 7
IP: 4
Command: 1
Soft:
Windows Defender, Task Scheduler, Windows certificate, Windows CryptoAPI, qemu, Process Explorer, Sysinternals
Algorithms:
gzip, xor, base64, rc4, 7zip, md5, sha1
Functions:
main
Win API:
CertCreateCertificateContext, CertOpenStore, CertAddCertificateContextToStore, CryptHashData, gethostbyname, WriteProcessMemory, CreateRemoteThread, SystemTimeToVariantTime
Languages:
powershell
Platforms:
x86, x64
Links:
https://github.com/avast/ioc/tree/master/GuptiMinerhttps://github.com/avast/ioc/blob/master/GuptiMiner/extras/PCAP/smb\_backdoor\_networking.pcapGendigital
GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
Malware Campaign Exploiting Antivirus Updates
CTT Report Hub
#ParsedReport #CompletenessHigh 23-04-2024 GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----
В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.
Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.
GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.
Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.
Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и анализе сложной вредоносной кампании под названием GuptiMiner, которая использовала уязвимости в механизме обновления антивируса eScan для распространения бэкдоров и coinminers. Кампания, приписываемая злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner демонстрировал расширенные возможности и непрерывную эволюцию с течением времени, демонстрируя разработчикам постоянное расширение своих возможностей и использование различных методов, позволяющих избежать обнаружения и поддерживать работоспособность скомпрометированных систем.
-----
В тексте рассказывается об обнаружении и анализе сложной вредоносной кампании, известной как GuptiMiner, которая использовала механизм обновления антивируса eScan для распространения бэкдоров и coinminers. Компания Avast обнаружила уязвимость и сообщила об этом, которая впоследствии была исправлена компанией eScan 31 июля 2023 года. Кампания, которую приписывают злоумышленнику, потенциально связанному с Kimsuky, была направлена на проникновение в крупные корпоративные сети с целью внедрения бэкдоров. GuptiMiner продемонстрировал расширенные возможности, включая DNS-запросы к серверам, контролируемым злоумышленниками, дополнительную загрузку, извлечение полезной нагрузки из изображений, которые выглядят безобидно, и использование пользовательских подписей доверенных центров сертификации.
Вредоносная кампания включала в себя два основных типа бэкдоров в GuptiMiner: усовершенствованный вариант PuTTY Link для сканирования SMB для перемещения по сетям в поперечном направлении и модульный бэкдор, способный выполнять команды злоумышленников, сканировать закрытые ключи и криптокошельки и распространять XMRig для майнинга криптовалюты на скомпрометированных устройствах. Используя уязвимость системы безопасности в механизме обновления eScan, злоумышленники проводили атаки типа "человек посередине" для распространения вредоносного ПО.
GuptiMiner, давняя вредоносная программа, появившаяся как минимум в 2018 году, с течением времени постоянно эволюционировала и совершенствовалась, а разработчики постоянно расширяли ее возможности. Вредоносная программа использовала несколько доменов для своих операций, в том числе для вредоносных DNS, загрузки PNG, пулов интеллектуального анализа конфигурации, модифицированных пулов интеллектуального анализа, конечных доменов C&C и многого другого. Он использовал мьютексы для правильного выполнения, периодически меняя их, и включал символы отладки в двоичные файлы для целей идентификации.
Цепочка заражения GuptiMiner включала в себя различные этапы, такие как дополнительная загрузка библиотеки DLL, внедрение шеллкода в процессы, расшифровка ответов DNS, внедрение XMRig для интеллектуального анализа данных и развертывание бэкдоров с помощью команд PowerShell. Основной компонент Puppeteer организовал операцию, внедрив механизмы сохранения, отключив такие функции безопасности, как защитник Windows, координируя деятельность по майнингу монет и развертывая бэкдоры в сетях Windows Server.
Дополнительные меры, принятые участниками угроз, включали методы защиты от виртуальных машин, уклонение от использования инструментов мониторинга и динамические конфигурации для адаптации к системным ресурсам. Вредоносное ПО шифровало и сохраняло полезную информацию в разделах реестра для сохранения, отслеживало системные процессы, внедряло XMRig для майнинга, загружало дополнительную полезную информацию для бэкдоров и со временем претерпевало различные улучшения, такие как изменения в использовании домена, стратегии взаимного обмена и обновления методов доставки полезной информации.
#ParsedReport #CompletenessLow
23-04-2024
LNK file disseminating RokRAT malware (disguised as certificate of completion)
https://asec.ahnlab.com/ko/64423
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Industry:
Military, Education
Geo:
Korea
ChatGPT TTPs:
T1193, T1059.001, T1204.002, T1560, T1105, T1071.001
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
23-04-2024
LNK file disseminating RokRAT malware (disguised as certificate of completion)
https://asec.ahnlab.com/ko/64423
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Rokrat
Dropper/lnk.s2343
Trojan/bat.runner
Infostealer/win.agent.r579429
Industry:
Military, Education
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1193, T1059.001, T1204.002, T1560, T1105, T1071.001
IOCs:
File: 5
Email: 4
Hash: 8
Languages:
powershell
ASEC BLOG
RokRAT 악성코드를 유포하는 LNK 파일 (수료증 위장) - ASEC BLOG
AhnLab SEcurity intelligence Center(ASEC)은 백도어 유형의 악성코드를 유포하는 비정상적인 크기의 링크 파일(*.LNK)이 꾸준히 유포되고 있음을 확인하였다. 최근 확인된 링크 파일(*.LNK)은 국내 사용자, 특히 대북 관련 인사를 대상으로 유포하는 것으로 확인된다. 확인된 LNK 파일명은 다음과 같다. 확인된 LNK 파일은 CMD를 통해 파워쉘을 실행하는 명령어가 삽입되어 있으며 지난해 게시한 ‘링크 파일(*.lnk)을…
CTT Report Hub
#ParsedReport #CompletenessLow 23-04-2024 LNK file disseminating RokRAT malware (disguised as certificate of completion) https://asec.ahnlab.com/ko/64423 Report completeness: Low Actors/Campaigns: Scarcruft Threats: Rokrat Dropper/lnk.s2343 Trojan/bat.runner…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab выявил целенаправленную кампанию по распространению вредоносного ПО с помощью вредоносных файлов LNK, ориентированную на лиц, связанных с Северной Кореей. Вредоносная программа использует команды Powershell и облачные API для выполнения вредоносных действий, требуя от пользователей в уязвимых секторах проявлять осторожность и применять строгие меры кибербезопасности.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил распространение файлов ссылок ненормального размера (*.LNK), содержащих вредоносные программы типа "бэкдор". Распространение этих файлов нацелено на местных пользователей, в частности на лиц, связанных с Северной Кореей. Подтвержденный файл *.LNK содержит команду для запуска Powershell через CMD, аналогичную ранее выявленным случаям. Этот тип вредоносного ПО характеризуется тем, что в файл *.LNK встроены обычные файлы документов, код скрипта и вредоносные PE-данные.
Вредоносная программа работает следующим образом: после запуска файла LNK используется команда Powershell для создания и запуска обычного файла документа. Последние загруженные данные, viewer.dat, содержат вредоносную программу RokRAT, которая представляет собой вредоносное ПО типа "черного хода", использующее облачные API для сбора информации о пользователях и выполнения различных вредоносных действий в соответствии с инструкциями злоумышленников. Вредоносные действия, которые могут быть выполнены, включают сбор информации, сохранение ее в папке %TEMP% и загрузку на облачный сервер злоумышленника.
В процессе анализа был идентифицирован адрес электронной почты злоумышленника. ASEC постоянно обнаруживает вредоносные файлы быстрого доступа и делится информацией о них через свой блог, что свидетельствует о частом распространении таких вредоносных программ. Примечательно, что в прошлом постоянно выявлялся вредоносный код, нацеленный на отдельных лиц в таких областях, как объединение, вооруженные силы и образование, что требует высокого уровня бдительности.
Полученные данные свидетельствуют о целенаправленной и продолжающейся кампании по распространению вредоносного ПО с помощью вредоносных файлов LNK, при этом особое внимание уделяется лицам, связанным с Северной Кореей. Использование команд Powershell и включение различных типов вредоносных данных в файлы LNK демонстрируют сложный подход к заражению систем и выполнению бэкдор-операций. Использование облачных API для сбора данных и совершения вредоносных действий подчеркивает эволюцию тактики кибератакеров по сбору конфиденциальной информации и удаленному проведению вредоносных операций.
Таким образом, пользователям, особенно в таких чувствительных секторах, как объединение, вооруженные силы и образование, необходимо проявлять осторожность при обращении с файлами LNK и сохранять бдительность в отношении потенциальных угроз. Постоянный мониторинг сетевой активности, сканирование на предмет аномального поведения файлов и внедрение надежных мер кибербезопасности необходимы для снижения рисков, связанных с такими целенаправленными вредоносными кампаниями. Сотрудничество с экспертами по кибербезопасности и ресурсами анализа угроз также может повысить способность эффективно обнаруживать возникающие угрозы и реагировать на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: Аналитический центр безопасности AhnLab выявил целенаправленную кампанию по распространению вредоносного ПО с помощью вредоносных файлов LNK, ориентированную на лиц, связанных с Северной Кореей. Вредоносная программа использует команды Powershell и облачные API для выполнения вредоносных действий, требуя от пользователей в уязвимых секторах проявлять осторожность и применять строгие меры кибербезопасности.
-----
Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил распространение файлов ссылок ненормального размера (*.LNK), содержащих вредоносные программы типа "бэкдор". Распространение этих файлов нацелено на местных пользователей, в частности на лиц, связанных с Северной Кореей. Подтвержденный файл *.LNK содержит команду для запуска Powershell через CMD, аналогичную ранее выявленным случаям. Этот тип вредоносного ПО характеризуется тем, что в файл *.LNK встроены обычные файлы документов, код скрипта и вредоносные PE-данные.
Вредоносная программа работает следующим образом: после запуска файла LNK используется команда Powershell для создания и запуска обычного файла документа. Последние загруженные данные, viewer.dat, содержат вредоносную программу RokRAT, которая представляет собой вредоносное ПО типа "черного хода", использующее облачные API для сбора информации о пользователях и выполнения различных вредоносных действий в соответствии с инструкциями злоумышленников. Вредоносные действия, которые могут быть выполнены, включают сбор информации, сохранение ее в папке %TEMP% и загрузку на облачный сервер злоумышленника.
В процессе анализа был идентифицирован адрес электронной почты злоумышленника. ASEC постоянно обнаруживает вредоносные файлы быстрого доступа и делится информацией о них через свой блог, что свидетельствует о частом распространении таких вредоносных программ. Примечательно, что в прошлом постоянно выявлялся вредоносный код, нацеленный на отдельных лиц в таких областях, как объединение, вооруженные силы и образование, что требует высокого уровня бдительности.
Полученные данные свидетельствуют о целенаправленной и продолжающейся кампании по распространению вредоносного ПО с помощью вредоносных файлов LNK, при этом особое внимание уделяется лицам, связанным с Северной Кореей. Использование команд Powershell и включение различных типов вредоносных данных в файлы LNK демонстрируют сложный подход к заражению систем и выполнению бэкдор-операций. Использование облачных API для сбора данных и совершения вредоносных действий подчеркивает эволюцию тактики кибератакеров по сбору конфиденциальной информации и удаленному проведению вредоносных операций.
Таким образом, пользователям, особенно в таких чувствительных секторах, как объединение, вооруженные силы и образование, необходимо проявлять осторожность при обращении с файлами LNK и сохранять бдительность в отношении потенциальных угроз. Постоянный мониторинг сетевой активности, сканирование на предмет аномального поведения файлов и внедрение надежных мер кибербезопасности необходимы для снижения рисков, связанных с такими целенаправленными вредоносными кампаниями. Сотрудничество с экспертами по кибербезопасности и ресурсами анализа угроз также может повысить способность эффективно обнаруживать возникающие угрозы и реагировать на них.
#ParsedReport #CompletenessLow
22-04-2024
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff
Report completeness: Low
Actors/Campaigns:
Eraleig
Scarcruft
Vice_society
Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai
Geo:
Czechia, Norway, Panama, Romania, Korean, Finland
ChatGPT TTPs:
T1486, T1583.001, T1566.001, T1027, T1071.001, T1105
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
Telegram, nginx, Ubuntu
Crypto:
bitcoin
Algorithms:
sha256, sha1, md5
22-04-2024
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff
Report completeness: Low
Actors/Campaigns:
Eraleig
Scarcruft
Vice_society
Threats:
Lockbit
Babuk
Mespinoza
Meduza
Trickbot
Mirai
Geo:
Czechia, Norway, Panama, Romania, Korean, Finland
ChatGPT TTPs:
do not use without manual checkT1486, T1583.001, T1566.001, T1027, T1071.001, T1105
IOCs:
File: 1
IP: 1
Hash: 3
Soft:
Telegram, nginx, Ubuntu
Crypto:
bitcoin
Algorithms:
sha256, sha1, md5
Medium
APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP
NOTE: This is a preliminary report about a new Ransomware which I had unmasked during my Cyber Investigation. There is only a single…